laut Problemstellung soll der username und das passwort aus der URL entfernt werden.
OK, das hast Du allerdings erreicht :)

OK, ich hab's nochmal gelesen, eigentlich sind beide Fragen darin enthalten:

Wenn sie aber den Server-User und das Passwort lesen können, ...

Das macht meine Idee.

... dann wären per hand-eingetippter-URL sämtliche Patienten-Bilder aufrufbar. Das darf nicht sein.

Das tut sie nicht.

Struppi.